Οι επιτιθέμενοι της SolarWinds ταλαιπωρούν τις BMW για να κατασκοπεύουν διπλωμάτες

Η υποστηριζόμενη από τη Ρωσία ομάδα πίσω από τη διαβόητη επίθεση SolarWinds στοχεύει «έναν εκπληκτικό αριθμό» ξένων διπλωματών που εργάζονται σε πρεσβείες στην Ουκρανία με δέλεαρ που είναι λίγο πιο προσωπικά από το παραδοσιακό πολιτικό κόμιστρο που χρησιμοποιείται συνήθως για να τους δελεάσει να κάνουν κλικ σε κακόβουλους συνδέσμους.

Ερευνητές από τη Μονάδα 42 του Palo Alto Networks παρατήρησαν την ομάδα — την οποία παρακολουθούν ως Καλυμμένη Ursa αλλά το οποίο είναι περισσότερο γνωστό ως Nobelium/APT29 — ένα όχημα για να κυκλοφορείτε.

Το αρχικό δέλεαρ στην εκστρατεία φάνηκε να χρησιμοποιεί ένα νόμιμο φυλλάδιο για την πώληση ενός μεταχειρισμένου σεντάν BMW στο Κίεβο που διαδόθηκε σε διάφορες πρεσβείες από διπλωμάτη του Πολωνικού Υπουργείου Εξωτερικών. Αν και φαίνεται αρκετά αθώο, η πώληση ενός αξιόπιστου αυτοκινήτου από έναν αξιόπιστο διπλωμάτη - ειδικά σε μια κατεστραμμένη από τον πόλεμο περιοχή όπως η Ουκρανία - θα μπορούσε σίγουρα να τραβήξει την προσοχή μιας νέας άφιξης στη σκηνή, σημείωσαν οι ερευνητές.

Αυτό είναι κάτι που το Cloaked Ursa χρησιμοποίησε ως ευκαιρία, επαναχρησιμοποιώντας το φυλλάδιο για να δημιουργήσει το δικό του παράνομο, το οποίο η ομάδα έστειλε σε πολλές διπλωματικές αποστολές δύο εβδομάδες αργότερα ως δόλωμα στην εκστρατεία κακόβουλου λογισμικού. Η ομάδα συμπεριέλαβε στο μήνυμα έναν κακόβουλο σύνδεσμο, λέγοντας ότι οι στόχοι μπορούν να βρουν περισσότερες φωτογραφίες του αυτοκινήτου εκεί. Τα θύματα βρίσκουν περισσότερα από φωτογραφίες εάν κάνουν κλικ στον σύνδεσμο, ο οποίος εκτελεί κακόβουλο λογισμικό σιωπηλά στο παρασκήνιο ενώ η επιλεγμένη εικόνα εμφανίζεται στην οθόνη του θύματος.

Το ωφέλιμο φορτίο της καμπάνιας είναι ένα κακόβουλο λογισμικό που βασίζεται σε JavaScript που δίνει στους εισβολείς μια κερκόπορτα έτοιμη για κατασκοπεία στο σύστημα του θύματος και τη δυνατότητα φόρτωσης περαιτέρω κακόβουλου κώδικα μέσω μιας σύνδεσης εντολής και ελέγχου (C2).

Η προηγμένη επίμονη απειλή (APT) έδειξε προσχεδιασμό για τη δημιουργία της λίστας στόχων της, χρησιμοποιώντας δημόσια διαθέσιμες διευθύνσεις email της πρεσβείας για περίπου το 80% των στοχευόμενων θυμάτων και μη δημοσιευμένες διευθύνσεις email που δεν βρέθηκαν στον επιφανειακό Ιστό για το υπόλοιπο 20%. Αυτό ήταν πιθανό «να μεγιστοποιήσει την πρόσβασή τους στα επιθυμητά δίκτυα», σύμφωνα με την Ενότητα 42.

Οι ερευνητές παρατήρησαν το Cloaked Ursa να ασκεί την εκστρατεία εναντίον 22 από τις 80 ξένες αποστολές στην Ουκρανία, αλλά ο πραγματικός αριθμός στόχων είναι πιθανότατα υψηλότερος, είπαν.

"Αυτό είναι εκπληκτικό σε εύρος για ό,τι γενικά είναι στενής εμβέλειας και μυστικές επιχειρήσεις APT", σύμφωνα με την Ενότητα 42.

Αλλαγή στις τακτικές κυβερνοχώρου κακόβουλου λογισμικού

Είναι ένας στρατηγικός άξονας από τη χρήση θεμάτων που σχετίζονται με τη δουλειά τους ως δόλωμα, αποκάλυψαν οι ερευνητές ένα blog post δημοσιεύτηκε αυτήν την εβδομάδα.

«Αυτά τα αντισυμβατικά θέλγητρα έχουν σχεδιαστεί για να δελεάσουν τον παραλήπτη να ανοίξει ένα συνημμένο με βάση τις δικές του ανάγκες και επιθυμίες αντί να αποτελούν μέρος των καθηκόντων ρουτίνας του», έγραψαν οι ερευνητές.

Αυτή η αλλαγή στις τακτικές δελεασμού θα μπορούσε να είναι μια κίνηση για την αύξηση του παράγοντα επιτυχίας της εκστρατείας όχι μόνο για να θέσει σε κίνδυνο τον αρχικό στόχο αλλά και άλλους εντός του ίδιου οργανισμού, επεκτείνοντας έτσι την εμβέλειά του, πρότειναν οι ερευνητές.

«Τα δολώματα είναι ευρέως εφαρμόσιμα σε όλη τη διπλωματική κοινότητα, και έτσι μπορούν να σταλούν και να προωθηθούν σε μεγαλύτερο αριθμό στόχων», έγραψαν στην ανάρτηση. «Είναι επίσης πιο πιθανό να προωθηθούν σε άλλους εντός ενός οργανισμού, καθώς και εντός της διπλωματικής κοινότητας».

Το Cloaked Ursa/Nobelium/APT29, είναι μια κρατική ομάδα που σχετίζεται με την Υπηρεσία Εξωτερικών Πληροφοριών της Ρωσίας (SVR), είναι ίσως περισσότερο γνωστή για την Η επίθεση SolarWinds, η οποία ξεκίνησε με μια κερκόπορτα που ανακαλύφθηκε τον Δεκέμβριο του 2020 και εξαπλώθηκε σε περίπου 18,000 οργανισμούς μέσω μολυσμένων ενημερώσεων λογισμικού — και εξακολουθεί να έχει αντίκτυπο σε ολόκληρη την αλυσίδα εφοδιασμού λογισμικού.

Η ομάδα παρέμεινε σταθερά ενεργή από τότε, συγκεντρώνοντας μια σειρά από επιθέσεις που ευθυγραμμίζονται με τη συνολική γεωπολιτική στάση της Ρωσίας κατά διάφορα υπουργεία εξωτερικών και διπλωμάτεςκαι η κυβέρνηση των ΗΠΑ. Ένας κοινός παρονομαστής στα περιστατικά είναι α πολυπλοκότητα τόσο στις τακτικές όσο και στην ανάπτυξη προσαρμοσμένου κακόβουλου λογισμικού.

Η ενότητα 42 σημείωσε ομοιότητες με άλλες γνωστές καμπάνιες από το Cloaked Ursa, συμπεριλαμβανομένων των στόχων της επίθεσης, και την επικάλυψη κώδικα με άλλο γνωστό κακόβουλο λογισμικό από την ομάδα.

Μετριασμός των Κυβερνοεπιθέσεων APT στην Κοινωνία των Πολιτών

Οι ερευνητές πρόσφεραν μερικές συμβουλές σε άτομα σε διπλωματικές αποστολές για να αποφύγουν να πέσουν θύματα εξελιγμένων και έξυπνων επιθέσεων από APT όπως το Cloaked Ursa. Το ένα είναι ότι οι διαχειριστές εκπαιδεύουν πρόσφατα διορισμένους διπλωμάτες σχετικά με τις απειλές για την ασφάλεια στον κυβερνοχώρο για την περιοχή πριν από την άφιξή τους.

Οι δημόσιοι ή εταιρικοί υπάλληλοι γενικά θα πρέπει πάντα να είναι προσεκτικοί με λήψεις, ακόμη και από φαινομενικά αβλαβείς ή νόμιμους ιστότοπους, καθώς και να λαμβάνουν πρόσθετες προφυλάξεις για να τηρούν την ανακατεύθυνση διευθύνσεων URL όταν χρησιμοποιούν υπηρεσίες συντόμευσης διευθύνσεων URL, καθώς αυτό μπορεί να είναι χαρακτηριστικό γνώρισμα επίθεσης phishing.

Οι άνθρωποι θα πρέπει επίσης να δίνουν μεγάλη προσοχή στα συνημμένα email για να αποφύγουν να πέσουν θύμα phishing, είπαν οι ερευνητές. Θα πρέπει να επαληθεύουν τους τύπους επεκτάσεων αρχείων για να διασφαλίσουν ότι το αρχείο που ανοίγουν είναι αυτό που θέλουν, αποφεύγοντας αρχεία με επεκτάσεις που δεν ταιριάζουν ή επιχειρούν να θολώσουν τη φύση του αρχείου.

Τέλος, οι ερευνητές πρότειναν στους διπλωματικούς υπαλλήλους να απενεργοποιούν κατά κανόνα το JavaScript, κάτι που θα καθιστούσε ανίκανο να εκτελεστεί οποιοδήποτε κακόβουλο λογισμικό που βασίζεται στη γλώσσα προγραμματισμού.

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
• PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• PlatoESG. Αυτοκίνητο / EVs, Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
• BlockOffsets. Εκσυγχρονισμός της περιβαλλοντικής αντιστάθμισης ιδιοκτησίας. Πρόσβαση εδώ.
• πηγή: https://www.darkreading.com/endpoint/solarwinds-attackers-bmws-spy-diplomats